Tartu Ülikooli teadlased uurisid Riigi Infosüsteemi Ameti (RIA) tellimusel Eesti tööstusettevõtetes tootmise automatiseerimisega kaasnevaid riske ja nende maandamise võimalusi.
Küberturvalisus muutub tootmisettevõtete jaoks järjest olulisemaks, sest automatiseerimine ning tööstusrobotite, pilvepõhise andmetöötluse, tehisintellekti ja teiste murranguliste tehnoloogiate üha laiem levik tekitab suures koguses andmeid ja teavet.
„Automatiseerimine võib aidata ettevõtetel tootmiskulusid vähendada ja tööd kiirendada. Samas on uute seadmete kasutusele võtmisel vaja tähelepanu pöörata ka nende küberturbe riskidele, sest kõiki neid kontrollitakse läbi eri infosüsteemide,“ selgitas RIA teadus- ja arendusjuht Lauri Tankler.
„Toetume Tartu Ülikooli teadurite oskusele koguda infot olukorrast ettevõtetes ning leida riskidele lahendusi nii kirjandusest kui ka praktikast,“ märgib Tankler. „Ma hindan kõrgelt seda, et analüüsis pööratakse erilist tähelepanu väikestele ja keskmise suurusega ettevõtetele. Nende roll majanduses on küll väga oluline, kuid neil endil pole sageli piisavalt vahendeid ega oskusteavet erinevate riskidega toimetulekuks.“
Teadlikkus on madal
Tartu Ülikooli arvutiteaduse instituudi teadlased tutvusid uuringu käigus mitme Eesti tootmisettevõttega, mis juba kasutavad automaatsüsteeme ja tehnoloogiad, et leida võimalikud nõrgad kohad ja nende parandamise võimalused.
„Selgus, et teadlikkus automatiseerimisega seotud infoturbe riskidest on kahjuks üsna madal,“ nendib üks uuringu autoreid, infoturbe nooremteadur Vjatšeslav Antipenko. „Turvaaspektidele pööratakse sageli tähelepanu alles pärast intsidendi toimumist.“
Tootmise automatiseerimisel võib esile kerkida kümneid eri riske. Kahju võivad tekitada näiteks ohutusseadmete väljalülitamine, andurite füüsiline rikkumine või kaugvõrgu turvanõrkuse ärakasutamine, aga ka ettevõttes pettunud töötaja sabotaaž, tööandaja vara isiklikes huvides kasutamine ja tööstusspionaaž.
„Esmajoones tuleb tegeleda nende riskidega, mille mõju võib olla kõige suurem. See on paratamatu, et osad vähemohtlikud riskid on küll teada, aga nendega ei tegeleta,“ ütleb Antipenko.
Muu hulgas tehti uuringu käigus intervjuud viie ettevõtte esindajatega, kellest koguni neli oli juba ühel või teisel moel küberintsidendiga kokku puutunud. Üks firma avastas näiteks ise, et seadmetele oli sisse ehitatud tagauks, ja neil õnnestus võimalikke kurje kavatsusi ennetada.
Antipenko sõnul selgus, et paljudel ettevõtetel on küll kasutusele võetud hästi läbimõeldud lahendused süsteemide ja masinate kaitseks, aga sageli osutub turvaahelas nõrgimaks lüliks hoopis töötaja: „Seetõttu on väga oluline personali pidev koolitamine turvaohtude teemal ja inimlike riskidega tegelemine.“
Ühe probleemina tõi uuring välja veel selle, et Eesti tootmisettevõtted on üsna hästi kursis isikuandmete kaitse nõuetega, kuid oluliselt vähem teatakse erinevatest tööstusspetsiifilisest standarditest ja raamistikest.
„Samas on need standardid, alates tööstusrobootika ohutusprotokollidest kuni pilvepõhiste tootmissüsteemide küberturvalisuse meetmeteni, olulised süsteemide töökindluse ja usaldusväärsuse tagamisel,” rõhutab Antipenko.
Kui ettevõte pole seni küberturbe küsimusi põhjalikumalt läbi mõelnud, siis soovitab Vjatšeslav Antipenko alustada oma varade ja tööprotsesside kaardistamisest. Sellele tuginedes on võimalik läbi viia riskianalüüs ja -hindamine, valida turvameetmed ja need ellu viia. Kõigeks selleks on ettevõtetel abi ka värskest uuringust.
Uurimistööd rahastasid Euroopa Liit ja Euroopa küberpädevuskeskus (ECCC).